为了符合 PCI 标准,我需要在运行 ubuntu hardy 的服务器上运行 openssh 5.8。编辑 /etc/apt/sources.list 以从 natty 安装 openssh-server 有太多未解决的依赖项,我需要进行完整升级。
我有什么选择?
答案1
您安装的 SSH 版本(大多数)不易受到这些攻击 - 您的合规性扫描是错误的。
- CVE-2008-1483:8.04 发布之前已修复。
- CVE-2008-1657:8.04 发布之前已修复。
- CVE-2008-3259:永远不适用于任何 Linux 系统。
CVE-2008-5161:嗯,有一个很有趣的漏洞。显然它是8.04 中未修复。
每这里,通过密码选择来缓解它:
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc
当您使用的操作系统将安全修复程序反向移植到稳定版本而不是引入新的主要软件版本时,盲目地将 CVE 列表与软件版本号进行比较的合规性扫描几乎毫无用处。您的第一步应该始终是确认您确实存在漏洞。
答案2
没有适用于 4.7p1 以上版本的 Ubunty Hardy 的 OpenSSH 预编译包,所以您唯一的选择是自行从源代码编译该软件。
OpenSSH 项目有一个安装文件记录该过程。
话虽如此,如果您设法使您的系统无法访问,我不承担任何责任。如果我真的必须这样做,那么我会启用 telnetd(或使用控制台),删除已安装的 openssh 包(dpkg -l | grep openssh),然后通过源代码安装。
我不知道安装脚本(从源代码编译时)是否为您提供了适当的初始化脚本以在启动时启动 sshd,因此您可能也想检查一下。
编辑因此,在我花了一段时间写下上述所有内容之后,您似乎正在尝试升级 OpenSSH,因为您认为您的系统存在 2008 年的漏洞。安全修复程序通过 Ubuntu Security repo 移植到 Ubuntu 系统,然后通过特定版本的更新 repo(在本例中为 hardy-updates)移植到 Ubuntu 系统。Hardy 的最新版本是 4.7p1-8ubuntu3,于 2011 年 3 月 2 日发布。